Get ADGroupMember によってメンバーにリモート フォレストからドメイン ローカル グループに対してエラーが返されます。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3171600
現象
Active Directory ドメイン サービス (AD DS) 内のグループのメンバーを識別するのには、 Get ADGroupMemberコマンドレットを使用することを想定しています。ただし、ドメイン ローカル グループのコマンドレットを実行するときは、次のエラーが返されます。

Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com"Get-ADGroupMember : An unspecified error has occurredAt line:1 char:1+ Get-ADGroupMember -verbose -identity "CN=Test-Local1,OU=Test Accounts,DC=contoso ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    + CategoryInfo          : NotSpecified: (CN=Test-Local1,...bertm-w7,DC=com:ADGroup) [Get-ADGroupMember], ADExcepti onon    + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
原因
この問題は、グループ アカウント フォレストから削除されたアカウントを持つ別のフォレストからのメンバーを持っている場合に発生します。メンバーは、外部セキュリティ プリンシパル (FSP) にローカル ドメインで表されます。グループの LDIFDE エクスポートで、メンバーシップが表示されます。
dn: CN=Test-Local1,OU=Test Accounts,DC=contoso,DC=com…member:  CN=S-1-5-21-3110691720-3620623707-1182478234-698540,CN=ForeignSecurityPrincipals,DC=contoso,DC=commember:  CN=S-1-5-21-3110691720-3620623707-1182478234-695739,CN=ForeignSecurityPrincipals,DC=contoso,DC=com
SID を移行元アカウントが削除されると、FSP ではない更新または削除この削除を反映するように。Manuallyverify する必要がありますこれらの FSP の参照を削除します。
解決方法
この問題を解決するには、作業中のディレクトリの web サービスが実行してこれらの Sid に関連する要求を解決するためのログ記録を有効にします。この方法では、解決に失敗したアカウントを識別できます。これを行うには、ドメイン コント ローラーでのGet ADGroupMemberコマンドレットを実行します。 contoso.com (プレース ホルダーを表わします、該当するドメインの)。

ログ記録を有効にするには、次のコマンドラインを実行します。

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForcePlease remember turning the logging off when you have the log:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force 
C:\windows\debug\lsp.logSID の名前解決を追跡する、名前付きのファイルが表示されます。コマンドレット、コマンドレットが実行されたドメイン コント ローラーを再実行してファイル エラーの記録は、次のようになります。

LspDsLookup - Entering function LsapLookupSidsLspDsLookup - LookupSids request for 1 SIDs with level=1, mappedcount=0, options=0x0, clientRevision=2 is being processed. SIDs are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup -   Requestor details: Local Machine, Process ID = 1408, Process Name = C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeLspDsLookup - Entering function LsapDbLookupSidsUsingIdentityCacheLspDsLookup - 1 sids remain unmappedLspDsLookup - Exiting function LsapDbLookupSidsUsingIdentityCache with status 0x0LspDsLookup - LookupSids chain request (using Netlogon) to \\dc3.northwindsails.com for 1 sids will be made with level=6, mappedcount=0, options=0x0, serverRevision=0. Sids are;LspDsLookup -         Sids[ 0 ] = S-1-5-21-3110691720-3620623707-1182478234-698540LspDsLookup - Lookup request (using Netlogon) to \\dc3.northwindsails.com returned with 0xc0000073 and mappedcount=0, serverRevision=0LspDsLookup - Exiting function LsapLookupSids with status 0xc0000073
(上記の例の出力) では、この問題の適切なセクションは次の項目のデジタルの確認します。
  • プロセスは、 C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exeです。
  • 別のフォレストのドメイン コント ローラーに要求が送信される、 northwindsails.comなどです。
  • リターン コードは、 0xc0000073STATUS_NONE_MAPPED に相当します。

FSP オブジェクトを検索するには、(置換のドメイン名および Sid) は、次のコマンドを実行します。
get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)"

この FSP の元のオブジェクトはなくなりました、安全に削除することができますように。これもから削除されますすべてのグループのメンバーであること。

get-AdObject -Searchbase "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" -ldapfilter "(cn=S-1-5-21-3110691720-3620623707-1182478234-698540)" | Remove-AdObject -Confirm:$false

警告: この記事は自動翻訳されています

プロパティ

文書番号:3171600 - 最終更新日: 06/23/2016 20:36:00 - リビジョン: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter

  • kbmt KB3171600 KbMtja
フィードバック